如何修复错误“阻止可能的枚举用户尝试”（2 种简单方法）

您是否担心黑客试图在您的 WordPress 网站上发现用户名以对其进行破解？

可能不是你的第一直觉，对吧？

但这里有一个现实检查：探测您的站点以查找用户名是黑客使用的一种非常常见的策略。

一旦黑客找到有效的用户名，他们只需猜测密码即可访问您的网站。 然后，黑客将使用所谓的“蛮力攻击”来猜测您的 WordPress 仪表板的正确密码。

接下来，他们会完全控制您的网站并造成严重破坏。 黑客窃取数据、重定向访问者和向客户发送垃圾邮件，以及一长串其他恶意活动。

不过不用担心，您可以通过针对用户枚举漏洞采取措施来防止黑客发现用户名。

在本指南中，您将了解什么是用户枚举以及如何防止它被黑客利用。

TL;DR ：用户枚举可以增加对您的 WordPress 网站进行暴力攻击的成功机会。 为防止这种情况，您可以安装 MalCare 安全插件。 它将检测并自动阻止您网站上的暴力破解尝试。

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”最后的想法”]

什么是用户枚举？

用户名枚举是黑客可以找到 WordPress 网站用户的过程。 他们扫描网站并收集他们用来尝试登录网站的用户信息（如姓名、电子邮件 ID）。

注意：我们所说的用户并不是指访问者或客户。 我们指的是有权访问您的 WordPress 管理面板的用户。

为什么这是个问题？ 黑客使用一种称为暴力攻击的技术，他们会尝试猜测您的用户名和密码。 他们对机器人进行编程，使其在几秒钟内输入数千种用户名和密码组合。

但是，如果他们知道您的用户名，则意味着他们离访问您的网站只有一步之遥。

这就是用户枚举的用武之地。黑客试图通过查看您网站上的作者姓名和电子邮件地址来找出用户名。

黑客可以通过不同的方式在您的网站上找到用户名。 重要的是要了解黑客使用的方法以实施针对用户枚举的措施。

用户枚举的类型

用户名存储在您的 WordPress 站点的数据库中。 但是，黑客不一定非得访问您的数据库才能找到这些信息。

我们详细介绍了黑客用来枚举 WordPress 网站用户的两种主要技术：

1.使用作者档案

您的 WordPress 网站上的每个用户都有一个分配给他们的唯一 ID。 WordPress 使用此 ID 来引用数据库中的相应用户帐户。

接下来，当您网站的用户创建页面和帖子时，WordPress 会将此数据存储在作者档案中。

作者档案基本上根据创建者对页面和帖子进行分类。

黑客可以在您的网站上运行脚本来加载作者档案，这可能会泄露用户 ID。 接下来，他们运行更多脚本来找出链接到用户 ID 的用户名。

2.使用登录表单

当您在 WordPress 登录页面输入无效的用户名时，会显示以下提示：

然而，如果您输入有效的用户名和错误的密码，WordPress 会显示以下提示：

这表明用户名“[email protected]”是一个有效的用户名，只是密码不正确。

黑客使用 Burp Intruder 等工具加载可能的用户名列表，通过检查来自 WordPress 的响应来找到有效的用户名。

使用这些方法，黑客可以发现您的用户名，这使他们更接近于入侵您的网站。 您可以实施安全措施以确保不会发生这种情况。

防止可能的枚举用户尝试

您可以通过使用插件或手动将一段代码插入 WordPress 文件来停止用户枚举。 我们不推荐手动方法，因为它非常危险。 最轻微的失误可能会破坏您的网站。 但是，我们将详细说明两者的步骤。

1.安装停止用户枚举插件

这是停止 WordPress 网站上的用户枚举的最简单和最有效的方法。 您可以从 WordPress 存储库在您的站点上安装此停止用户枚举插件。

顾名思义，该插件旨在防止黑客扫描您的网站以获取用户名。

它还具有记录试图枚举用户的 IP 地址的绝妙功能。 IP 地址是分配给连接到互联网的设备的唯一代码。 MalCare 等 WordPress 防火墙插件旨在检测执行恶意活动的 IP 地址并阻止他们访问您的站点。

如果您的网站上安装了防火墙，您可以交叉验证停止用户枚举插件提供的 IP 地址日志与您的防火墙阻止的 IP 地址日志。 如果它没有阻止它，大多数防火墙允许您手动输入 IP 地址并将其列入黑名单。 然后防火墙将自动阻止该 IP 地址再次访问您的站点。

2.手动插入代码停止用户枚举

注意：请记住，我们不推荐使用此方法。 如果您想继续，我们建议您备份您的 WordPress 网站。 如果出现任何问题，您可以将您的网站恢复正常。

第 1 步：登录到您的主机帐户，转到cPanel > 文件管理器。 （您也可以使用像 FileZilla 这样的 FTP 访问您的文件。）

第 2 步：打开public_html文件夹，转到wp-content并访问您的主题文件夹。 请记住选择您网站上处于活动状态的主题。

第 3 步：在这里，您可以找到主题的function.php文件。 右键单击并编辑此文件。

第 4 步：插入以下代码：

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

保存更改并关闭文件。 应在您的网站上阻止用户枚举。

这样，我们就可以结束保护您的网站免受用户枚举的攻击。 我们还强烈建议使用您网站上不易获得的用户名。 例如，如果您的网站上显示了团队成员和博客作者姓名，那么保留不同的管理员名称是明智的。

最后的想法

通过阻止 WordPress 站点中的用户枚举，您可以减少暴力攻击的机会。 黑客通常以容易被黑客入侵的网站为目标。 他们的机器人将进行几次不成功的尝试并离开您的站点。

但是，暴力攻击只是您需要保护您的 WordPress 网站免受黑客攻击的安全威胁之一。

我们强烈建议激活一个安全插件，该插件会定期扫描您的网站，以确保网站干净且无恶意软件。 它还会主动阻止黑客访问您的网站。

知道您的网站是安全的，您可以放心地操作您的网站。

使用 MalCare 保护您的 WordPress 网站！